NextCry Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные Linux-серверов, работающих с NextCloud с помощью AES-256-CBC (для файлов) + RSA-2048 (для ключа), а затем требует выкуп в 0.025 BTC, чтобы вернуть файлы. Оригинальное название: NextCry. Написано на язык программирования Python.
Обнаружения:
Kaspersky -> Trojan-Ransom.Python.NextCry.a, Trojan-Ransom.Python.NextCry.b
DrWeb -> Python.Encoder.4
BitDefender -> Trojan.GenericKD.32725146
Avast -> ELF:Filecoder-AM [Trj]
ALYac -> Trojan.Ransom.Python
McAfee -> Linux/Nextcry.gen.a
TrendMicro -> TROJ_FRS.0NA103KJ19
© Генеалогия: ✂️ SambaCry > NextCry
Изображение — логотип статьи
Имя файлов и их содержимое закодировано в base64.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Техническая ориентация: сервисы NextCloud.
***
Администрация NextCloud рекомендует обновить пакеты PHP (PHP-FPM) и файл конфигурации NGINX до последней версии. По угрозой все, даже старые ПК с Linux и конфигурацией NGINX!
***
Записка с требованием выкупа называется: READ_FOR_DECRYPT.html
Содержание записки о выкупе:
YOU HAVE BEEN HACKED
YOUR FILES HAVE BEEN ENCRYPTED USING A STRONG AES-256 ALGORITHM
SEND 0.025 BTC TO THE FOLLOWING WALLET
1KlwwHCUpmsKTuDh9TagfJ4h2bKMxLkjpY
AND AFTER PAY CONTACT aksdkja0sdp@ctemplar.com
TO RECOVER THE KEY NECESSARY TO DECRYPT YOUR FILES
Перевод записки на русский язык:
ВАС ВЗЛОМАЛИ
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С НАДЕЖНЫМ АЛГОРИТМОМ AES-256
ОТПРАВЬТЕ 0.025 BTC НА СЛЕДУЮЩИЙ КОШЕЛЕК
1KlwwHCUpmsKTuDh9TagfJ4h2bKMxLkjpY
А ПОСЛЕ ОПЛАТЫ КОНТАКТ aksdkja0sdp@ctemplar.com
ДЛЯ ВОССТАНОВЛЕНИЯ КЛЮЧА НАДО РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Начало атаки:
При выполнении NextCry сначала найдет общий доступ к файлу NextCloud жертвы и синхронизирует каталог данных, прочитав службный файл config.php. Затем он удалит некоторые папки, которые можно использовать для восстановления файлов, а затем зашифрует все файлы в каталоге данных.
О шифровании:
Майкл Джиллеспи подтвердил, что для шфирования файлов используется AES-256, а ключ шифруется открытым ключом RSA-2048, встроенным в код вредоносного ПО NextCry.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
nextcry (ELF-файл) - это скрипт Python, скомпилированный в бинарный ELF файл для Linux с использованием pyInstaller
READ_FOR_DECRYPT.html
keys.enc
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: aksdkja0sdp@ctemplar.com
BTC: 1KlwwHCUpmsKTuDh9TagfJ4h2bKMxLkjpY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as NextCry) Write-up, Topic of Support, Topic of Support *
Thanks: Michael Gillespie, xact64, Ionut Ilascu Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
